在最新安全研究中,研究人員揭露了 3 個流行的 AI 代理(AI agents)存在的重大安全漏洞,這些代理與 GitHub Actions 整合,並可能被利用來竊取 API 金鑰與訪問權杖。
這些代理包括 Anthropic 的 Claude Code Security Review、Google 的 Gemini CLI Action 與 Microsoft 的 GitHub Copilot。儘管研究人員已經發現了這些漏洞並獲得了相應的獎金,但這 3 家公司並未對外發表任何安全警告或公告。
研究人員 Aonan Guan 表示,這些漏洞可能影響到其他與 GitHub 整合的代理,並警告使用者如果不發表公告,可能永遠不會知道自己處於危險之中。Guan 與他的約翰霍普金斯大學(Johns Hopkins University)團隊發現,這些 AI 代理的工作流程相似,均會讀取 GitHub 資料並根據使用者的提示執行操作。
Guan 的攻擊方法是透過在拉取請求(Pull Request)的標題中注入惡意指令,成功地使 Claude 執行了這些指令,並將結果嵌入到其 JSON 回應中。這項技術不僅能夠竊取 API 金鑰,還能夠洩漏其他敏感資料。隨後,Guan 的團隊也成功地在 Google 的 Gemini 與 Microsoft 的 Copilot 上重複了這項攻擊。
在這些攻擊中,Guan 強調了「評論與控制(Comment and Control)」攻擊的該概念,這種攻擊方式允許攻擊者透過在拉取請求標題、問題主體與評論中注入提示來控制 GitHub 資料。這項發現突顯了即使是內建有提示注入防護的模型,仍然可能被繞過的風險。
Guan 建議,企業應該將提示注入視為釣魚攻擊,並對 AI 代理採取與人類員工相同的安全措施,僅授予其完成任務所需的工具與權限。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
